De Workspace ONE Access-service gebruikt toegangscontrole op basis van rollen (RBAC) om beheerdersrollen te beheren. Met toegangscontrole op basis van rollen kunt u functionele rollen maken die de toegang van beheerders tot taken in de Workspace ONE Access-console beheren en de rollen toewijzen aan een of meer gebruikers en groepen.
Drie vooraf gedefinieerde beheerdersrollen zijn ingebouwd in de Workspace ONE Access-service.
- Superbeheerder. De superbeheerdersrol die toegang heeft tot alle onderdelen en functies in de Workspace ONE Access-services en deze ook kan beheren. De superbeheerder kan beheerdersrollen toewijzen aan gebruikers en groepen en de beheerdersrollen beheren. Als best practice wordt aanbevolen de superbeheerdersrol slechts aan een beperkt aantal gebruikers te verlenen.
Voor Workspace ONE Access-cloudtenants wordt een lokale tenantadmingebruiker in het systeemdomein van de systeemdirectory gemaakt als eerste superbeheerder wanneer de tenant voor het eerst wordt ingesteld. De naam van deze gebruiker is admin. De verficatiegegevens die u ontvangt wanneer u een nieuwe tenant krijgt, behoren bij deze lokale admingebruiker.
- Alleen-lezen beheerder. De beheerdersrol met het kenmerk Alleen-lezen kan de details bekijken op de pagina's van de Workspace ONE Access-console, zoals het dashboard en de rapporten, maar kan deze niet wijzigen. De alleen-lezen rol wordt automatisch toegewezen aan alle beheerdersrollen. U kunt ook gebruikers en groepen aan de alleen-lezen rol toewijzen wanneer u ze toevoegt aan de lokale directory's.
De rol alleen-lezen beheerder geeft gebruikers beheerderstoegang om de Workspace ONE Access-console weer te geven. Maar tenzij aan een beheerder een andere rol met aanvullende toegang is toegewezen, kan deze alleen de inhoud in de Workspace ONE Access-console weergeven.
Opmerking: Sommige pagina's van de Workspace ONE Access-console zijn niet ingeschakeld om te worden bekeken door een beheerder aan wie alleen de rol alleen-lezen is toegekend. Als alleen-lezen beheerders deze pagina's trachten te bekijken, worden zij omgeleid naar het dashboard. - Directorybeheerder. De directorybeheerdersrol kan gebruikers, groepen en directory's beheren. De directorybeheerder kan integratie van directory's voor zowel de bedrijfsdirectory's als de lokale directory's binnen uw organisatie beheren. De directorybeheerder kan ook lokale gebruikers en groepen beheren.
U kunt ook aangepaste beheerdersrollen maken die beperkte rechten voor specifieke typen services in de Workspace ONE Access-console verlenen. In deze service kunnen specifieke bewerkingen worden geselecteerd als het type actie dat kan worden uitgevoerd in de rol.
Beheerdersrollen toepassen op verschillende services
U kunt rollen voor toegangscontrole maken om zes verschillende typen services in de Workspace ONE Access-console te beheren. Meerdere rollen kunnen aan dezelfde gebruikers en groepen worden toegewezen. Wanneer aan een gebruiker meer dan één rol wordt toegewezen, zijn altijd de meest uitgebreide rechten van de rollen van toepassing. Bijvoorbeeld: als aan een beheerder twee rollen zijn toegewezen, één met schrijftoegang tot de service Identiteits- en toegangsbeheer en die beleidsregels kan beheren, en een andere rol zonder toegang, heeft die beheerder toegang om beleidsregels te wijzigen.
Wanneer u een rol toevoegt, selecteert u het type service en definieert u welke acties kunnen worden uitgevoerd in die service. In sommige van de services kunt u ervoor kiezen om alle bronnen voor de geselecteerde actie of sommige bronnen te beheren.
| Type service | Beschrijving van service |
|---|---|
| Catalogus | De catalogus is de opslagplaats van alle resources waarvoor rechten kunnen worden verleend aan gebruikers. De catalogusservice kan de volgende typen acties beheren.
Opmerking: Een superbeheerder is vereist om de procedure Aan de slag op de pagina Verzameling van virtuele apps in de catalogus te starten. Na de eerste procedure Aan de slag kunnen beheerdersrollen met de catalogusservice ThinApp-pakketten en desktopapplicaties beheren.
|
| Directorybeheer | De service Directorybeheer kan de volgende typen acties beheren voor de organisatie of voor specifieke directory's in uw organisatie.
Belangrijk: Wanneer u een rol met de service Directorybeheer maakt, moet u ook de service Identiteits- en toegangsbeheer in de rol configureren.
|
| Gebruikers en groepen | De service Gebruikers en groepen kan de volgende typen acties in uw hele organisatie of voor specifieke domeinen in uw organisatie beheren.
|
| Rechten | De service Rechten kan gebruikers toewijzen aan web- en virtuele applicaties. De volgende typen rechtenacties kunnen worden beheerd. Voor elk van deze acties kunt u de rol configureren om gebruikers en groepen aan alle bronnen in uw organisatie of aan specifieke applicaties toe te wijzen. U kunt ook rechten voor applicaties verlenen aan gebruikers en groepen in specifieke domeinen.
|
| Rollenbeheer | De service Rollenbeheer kan de toewijzing van de beheerdersrol aan gebruikers beheren. Wanneer u een rol met de service Rollenbeheer maakt, moet u de service Gebruikers en groepen configureren en de acties Gebruikers beheren en Groepen beheren selecteren. Beheerders waaraan deze rol is toegewezen, kunnen gebruikers en groepen promoveren naar de beheerdersrol en kunnen de beheerdersrol van gebruikers of groepen verwijderen. |
| Identiteits- en toegangsbeheer | De service Identiteits- en toegangsbeheer kan de volgende gebieden in de Workspace ONE Access-console beheren.
Opmerking: Beheerders met rol die de service Identiteits- en toegangsbeheer bevat, kunnen
Workspace ONE Access met Workspace ONE UEM integreren en de directory vanuit de Workspace ONE UEM Console maken.
|
